K-NET s.c.

Kontener WordPress i strefa czasowa

Wirtualizacja i kontneryzacja są zdecydowanie technikami zmieniającymi sposób w jaki budujemy swoje usługi. O ile kiedyś przygotowanie np. własnej (nawet) statycznej strony www wymagało przygotowania serwera, później zainstalowania i skonfigurowania oprogramowania (nie wspominając, że najpierw w pocie czoła składało się coś na kształt peceta hmm… serwerowego) o tyle obecnie cały proces znacznie się skrócił bo dostajemy gotowe moduły do uruchomienia czy to w środowiskach wirtualizacyjnych, czy to na platformie dla kontenerów.

Oczywiście nie ma rozwiązań doskonałych i nawet coś tak łatwego w utrzymaniu jak kontenery ma swoje ułomności. Jedną z nich, dosyć często występującą, jest brak obsługi strefy czasowej w przypadku bardzo popularnego systemu CMS jakim jest WordPress. Jest to zadziwiające, że w przypadku oficjalnego obrazu dostępnego w serwisie Docker Hub nie pomyślano o tym. Być może nie jest to wada, która będzie uciążliwa od pierwszych minut funkcjonowania naszej strony ale szybko ujawni się jeśli włączymy np. dwustopniową autoryzację podczas logowania do panelu administracyjnego. Poniżej opisuję krótko jak naprawić tą niedogodność.

W internecie można znaleźć dużo porad na ten temat jednak tak naprawdę tylko jedna z nich sprawdziła się w moim przypadku. Dotyczy ona konfiguracji w oparciu o plik YAML dla konfiguracji Docker Compose. Przy korzystaniu z Portainera, czyli narzędzia, które zdecydowanie mogę polecić nie tylko początkującym, jest to w zasadzie najprostsza droga dla budowania całkiem skomplikowanych konfiguracji.

Rozwiązanie w całości opiera się na dopisaniu kliku linijek tekstu we wspomnianym pliku konfiguracyjnym:

services:
  service_name:
    volumes:
      - "/etc/timezone:/etc/timezone:ro"
      - "/etc/localtime:/etc/localtime:ro"

Jeśli zapewnimy prawidłową konfigurację systemu hosta kontenerów – mam na myśli strefę czasową – to praktycznie kontener WordPress skopiuje te ustawienia do swojego obrazu. Tylko tyle i aż tyle. Zatem do roboty!

MG

Tagi: konteryzacja, Linux, WordPress

OpenMediaVault migracja do najnowszej wersji

Jako zagorzały fanatyk OpenMediaVault nie wiedziałem dotychczas, że można dosyć łatwo i sprawnie przeprowadzić migrację do jego najnowszej wersji. Z czystego lenistwa używam OMV jako interfejsu graficznego do zarządzania serwerami i tylko w razie potrzeby zaglądam do linii poleceń. OMV można zawsze zainstalować jako dodatek do istniejącego już systemu korzystając ze skryptu instalacyjnego:

https://github.com/OpenMediaVault-Plugin-Developers/installScript

Jednak zawsze po pewnym czasie, kiedy system się starzeje a repozytoria przechodzą do archiwum może dojść do sytuacji, w której linie aktualizacji GMV oraz OS rozejdą się na tyle, że któraś z bibliotek przestanie działać albo w najgorszym razie zaktualizowana konfiguracji nie pozwoli na uruchomienie kluczowej usługi np. Dockera z całą masą krytycznych kontenerów.

W takim przypadku pozostaje wymiana OS i instalacja od nowa GMV z przeniesieniem kluczowych serwisów lub … skorzystanie z bardzo wygodnego w użyciu skryptu pozwalającego po prostu zaktualizować GMV do wyższej wersji.

Skrypt aktualizacyjny jest dołączony do narzędzi OMV i wywołujemy go poleceniem:

omv-release-upgrade

Przy odrobinie szczęścia i po odczekaniu kilkunastu minut będziemy mogli się cieszyć nową wersją OMV.

Jednak trzeba wyraźnie napisać, że tego typu „duże” aktualizacje niosą za sobą ryzyko niezgodności bibliotek, konieczności wykonania rekonfiguracji oraz poprawek systemu etc. Ja odkryłem na razie jedną dotyczącą pakietu Nginx Proxy Manager w wersji kontenerowej (Docker). Okazało się, że Nginx nie startuje podczas automatycznegi uruchomienia kontenera. W tym przypadku wystarczy uruchomić go wewnątrz kontenera ponownie po zatrzymaniu procesu na kilka sekund. Można również napisać skrypt uruchomieniowy jeśli ktoś jest bardziej ambitny. Tak czy inaczej tam gdzie drwa rąbią itd.

MG

Tagi: aktualizacja, Linux, OMV

Wirtualizacja KVM – przekierowanie ruchu

Wielokrotnie pisałem o mojej ulubionej wirtualizacji czyli środowisku VMware. Pomimo doświadczeń z innymi rodzajami hostów nadal uważam, że jest to naprawdę bardzo dobrze zrównoważone rozwiązanie. Drugą istotną cechą jest wsparcie techniczne, które pod postacią dokumentacji elektronicznej oraz komentarzy użytkowników jest uporządkowane i pieczołowicie utrzymywane przez samego producenta. Wszystko to sprawia, że nawet jeżeli spotka nas jakiś ezoteryczny problem to od razu wiadomo gdzie szukać rozwiązania.

Jednak jak zwykle życie wymusza często zmiany w rozwiązaniach i ostatnio zmierzyłem się z maszynami wirtualnymi KVM. Posiadając działający i w pełni skonfigurowany serwer zbudowany na bazie np. Debiana, nie ma raczej innego wyjścia chociaż można spróbować tzw. poor man virtualization czyli Virtualbox w trybie headless. Przyznam, że do tej pory mam pod opieką jeden taki wynalazek. Wracając do KVM to warto zaznaczyć, że nawet jeżeli nie lubisz konfiguracji z użyciem komend to możesz zaistalować chociażby pakiet Cockpit i uzyskać tym samym zarządzanie przez webinterface.

Niezależnie w jaki sposób będziemy korzystać z KVM warto zadbać o bezpieczeństwo konfigurując swoje węzły wirtualne w dedykowanej wirtulanej sieci za NATem. W ten sposób odetniemy możliwość bezpośredniego atakowania usług sieciowych. Z kolei na potrzeby chociażby testowania mamy wygodne rozwiązanie na kształt prywatnej sieci lokalnej z dostępem do Internetu.

Załóżmy następnie, że będziemy chcieli wystawić wybraną usługę, może to być np. serwer www na zewnątrz sieci LAN. Powinniśmy użyć mechanizmu forwardowania pakietów pod wskazany wewnętrzny adres IP, na wskazany port. Jest to powszechnie wykorzystywana metoda w wielu domowych (i nie tylko) routerach z firewallem. W tym miejscu dochodzimy do głównego wyzwania bo przecież interfejs sieciowy KVM oraz interfejs fizyczny nie są ze sobą wprost związane. Żeby przekazywać komunikację między jednym a drugim trzeba skorzystać z dodatkowej konfiguracji za pomocą iptables.

Biorąc za przykład przekazywanie ruchu do serwera www (via HTTPS) będą potrzebne dwie reguły:

iptables -t nat -I PREROUTING -p tcp -d 1.2.3.4 --dport 443 / 
-j DNAT --to-destination 10.0.0.1:443
iptables -I FORWARD -m state -d 10.0.0.1/24 /
--state NEW,RELATED,ESTABLISHED -j ACCEPT

Domyślny konfiguracja KVM NAT zapewnia regułę podobną do drugiej linijki, ale pomija stan NEW, który jest niezbędny do akceptacji połączeń przychodzących. W przykładzie 1.2.3.4 jest adresem publicznym (zewnętrznym) zaś 10.0.0.1 adresem prywatnym. Należy je zmienić według potrzeb i konfiguracji własnej sieci.

Dopiero wpisanie z linii poleceń powyższych dwóch komend pozwoli nam skomunikować się z maszyną wirtualną KVM. Jako zadanie domowe polecam sprawdzenie jak można dodoac reguły do konfiguracji tak aby nie trzeb było ich za każdym razem ręcznie podawać po starcie systemu.

MG

Tagi: iptables, KVM, Linux, wirtualizacja

SupportCandy czyli obsługujemy zgłoszenia

Ostatnio systemy obsługi zgłoszeń stają się coraz bardziej popularne. Począwszy od bardzo skomplikowanych i rozbudowanych, które możemy wykupić jako usługę w chmurze, poprzez gotowe do użyciu kontenery Docker a skończywszy na prostych ale równie skutecznych rozszerzeniach do popularnych platform CMS. Tym razem chciałem skupić się na tych ostatnich.

Ponieważ od wielu lat korzystam głównie z WordPressa dlatego swoje poszukiwania skoncetrowałem na tej platformie. W sieci można znaleźć dość bogatą ofertę. Społeczność WordPressa należy do jednej z największych. Rozmaitych wtyczek nie brakuje. Z oczywistych względów powinniśmy jednak szukać prostej w obsłudze, dobrze zintegrowanej z pocztą elektroniczną oraz udostępniającej tłumaczenie w języku polskim. I tutaj może nas spotkać zaskoczenie ponieważ jak się okazuje nie jest łatwo znaleźć takie oprogramowanie.

Ostatecznie po kilku próbach, paru instalacjach oraz dyskusjach z użytkownikami zdecydowaliśmy się na wtyczkę SupportCandy i to nie tylko dlatego, że można skorzystać z jej bezpłatnej wersji. Przede wszystkim SupportCandy dosyć dobrze integruje się z obsługą poczty. A jeżeli zainstalowaliśmy dodatkowo wtyczkę WP Mail SMTP to praktycznie nic więcej nam nie potrzeba.

Kolejną cechą jest obsługa tzw. shortcodes, czyli małych fragmentów kodu wywoływanych specjalnym znacznikiem w tekście strony, co znacznie ułatwia dodanie rozbudowanych funkcji do statycznych elementów strony. Na przykład użycie frazy:

[wpsc_create_ticket]

spowoduje dodanie formularza z możliwością założenia zgłoszenia.

Od strony obsługi zgłoszeń, w panelu administarcyjnym pojawia się dodatkowa zakładka, która przenosi nas do przejrzystego panelu obsługi. Z bardzo przydatnych funkcji można wymienić przede wszystkim możliwości śledzenia realizacji zadania na skali czasu. Dostępne są ponadto wszystkie funkcje takie jak zamknij, zduplikuj czy usuń, typowe dla każdej platformy.

Ostatnią rzeczą, o której warto wspomnieć jest tłumaczenie wtyczki. Jest ona na tyle popularna, że w sieci można znaleźć gotowe pliki z językiem polskim. Nie mniej zdecydowałem się na kolejną wtyczką czyli GTranslate, która umożliwia tłumaczenie strony w locie za pomocą Google Translator. Jest to nieco inne podejście. Zdarzają się jeszcze drobne, śmieszne błędy. Jednak na pewno umożliwia bardzo szybkie wdrożenie na czym we wspólczesnym świecie coraz bardziej nam zależy.

MG

Tagi: Linux, WordPress, wtyczka

vCenter Converter powraca!

VMware ogłasza powrót jednego z najpopularniejszych produktów w katalogu – vCenter Converter. Wydano nową i ulepszoną wersję produktu, kompatybilną z vSphere 7.0 i ESXi 7.0. Opublikowana wersja koncentruje się głównie na poprawie stabilności i standardów bezpieczeństwa Konwertera oraz zachowaniu istniejącej funkcjonalności.

VMware vCenter Converter zachęca do wysłania informacji o chęci dołączenia do programu vCenter Converter Beta. Można skorzystać z tej możliwości, aby wpływać na przyszły kierunek rozwoju produktu. Jeśli nie masz dostępu do społeczności Beta, wystarczy, że odwiedzisz stronę rejestracji vCenter Converter BETA i przejdziesz do wypełnienia oraz wysłania formularza.

vCenter Converter jest bezpłatnym narzędziem zapewniającym możliwość konwersji maszyn wirtualnych działających na hiperwizorach innych dostawców oraz maszyn fizycznych na maszyny wirtualne VMware. Mowa wersja vCenter Converter obsługuje konwersję rozwiązań opartych na MS Hyper-V, konwersję pomiędzy formatami wirtualnymi VMware (Workstation, Fusion) oraz rekonfigurację maszyn wirtualnych VMware. vCenter Converter wspiera wirtualne stacje robocze działające pod kontrolą systemów Windows, Linux Ubuntu, CentOS, Red Hat Enterprise Linux.

Kolejne wydania będą wzbogacać listę obsługiwanych hyperwizorów, wersji vSphere, systemów operacyjnych i wirtualnych wersji sprzętu.

Link do oryginalnego komunikatu: https://blogs.vmware.com/code/2022/09/15/vcenter-converter-is-back/

MG

Tagi: Linux, serwer, VMWare, Windows, wirtualizacja

PHP – konfiguracja wersji

Wiele lat temu gdy Internet dopiero powstawał tworzenie stron było dosyć proste a dokumenty, które w ten sposób przygotowywano były zazwyczaj statyczne. Wkrótce potem apetyt twórców szybko wzrósł i powoli zaczęły pojawiać się treści dynamicznie generowane. Upłyneło kolejnych kilka lat i dziś żeby napisać stronę używamy całych gotowych platform nawet jeżeli treści będzie tam niewiele. Jeśli zaś mowa o platformach to wykorzystują one z reguły do pracy wybrany bazowy język programowania. Oczywiście rozwiązań jest tutaj multum, jednak tym razem chciałem skupić się na dosyć popularnym, chociaż nie pozbawionym wielu wad języku PHP.

Załóżmy, że budujemy witrynę www korzystając z serwera on-premise. W dobie olbrzymiej popularności roziązań chmurowych może wydawać się to nieuzasadnione i szalone ale jeśli komuś zależy nad panowaniem nad całością architektury IT to musi zmierzyć się z budową własnych narzędzi. Załóżmy, że korzystamy już z serwera na bazie Debiana, Ubuntu etc., skonfigurowaliśmy silnik bazy danych, serwer HTTP, w tym przypadku Apache, a teraz chcemy zapanować nad wersjami PHP. Rzecz w tym, że ze względu na mnogość gotowych rozwiązań rozszerzających funkcje z poziomu witryny możemy doświadczyć mnogości wymagań odnośnie typu bibliotek PHP zainstalowanych i uaktywnionych w systemie. Poniżej zamieszczam parę wskazówek jak szybko przełączać ich wersje bez skomplikowanej reinstalacji.

Po pierwsze musimy sprawdzić jakie wersje PHP są dostępne w naszym systemie a następnie zdezaktywować starszą i uaktywnić najświeższą dostępną, jeśli chcemy mieć wszystko zaktualizowane:

a2dismod php7.4
a2enmod php8.0
service apache2 restart

To jednak nie wystarczy aby nasza platforma usług WWW zaczęła widzieć zmiany. Teraz musimy rekonfigurować ustawienia systemowe:

update-alternatives --config php
update-alternatives --config phar
update-alternatives --config phar.phar

Za każdym razem konsekwentnie wybieramy pożądaną wersje PHP. Na koniec ponownie uruchamiamy serwer Apache:

service apache2 restart

Opisana powyżej procedura pozwola zmieniać wersję PHP w obydwie strony, zapewnia zatem całkowitą dowolność.

MG

Tagi: Debian, konfiguracja, linia poleceń, Linux

openmediavault NAS

openmediavault to projekt, którego popularność wzrasta nieustannie od kilku ładnych lat. Jest to gotowy do użytku zestaw aplikacji pozwalający na zbudowanie własnego serwera NAS w systemie opartym o Debian Linux. W dobie dwóch bardzo dobrych komercyjnych rozwiązań, którymi są produkty firm Synology i QNAP wydawać by się mogło, że kolejny gracz nie jest już potrzebny. Jednak openmediavault to rozwiązania wręcz perfekcyjne jeśli dysponujemy starym serwerem i nie chcemy wydawać pieniądzy żeby przygotować sobie maszynę na kopie zapasowe.

Tym razem jednak chciałbym napisać o alternatywnej metodzie instalacji openmediavault. Ze strony www.openmediavault.org możemy pobrać gotowe obrazy ISO tak aby przeprowadzić standardową instalację tak jak w przypadku każdego systemu operacyjnego tzn. z nośnika USB lub płyty DVD ale istnieje również inna metoda.

Wyobraźmy sobie, że mamy już sewer z Debianem i chcielibyśmy wzbogcić go o nakładkę w postaci openmediavault. Tego typu instalacja nie musi być pozbawiona sensu, zwłaszcza że wraz z oprogramowaniem dostaniemy wygodne narzędzie GUI do utrzymywania środowiska z kontenerami typu Docker plus Portainer czy narzędzie do zarządzania wirtualizacją Linux KVM. Jakby tego było mało – dodatkowo jeśli nie myślimy o zaawansowanej pracy z serwerem Debian – to przy odrobinie samozaparcia możemy w całości zarządzać systemem przy pomocy wspomnianego wyżej GUI.

Co zatem należy zrobić? Trzeba z poziomu konsoli systemowej uruchomić skrypt:

wget -O - https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install |  bash

Jeśli zaś nie używamy wget możemy to zrobić tak:

curl -sSL https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install |  bash

Po kilku, kilkunastu minutach powinniśmy mieć zainstalowaną nakładkę openmediavault.

Jeśli nadal coś nie będzie działać lub pojawią się dodatkowe problemy to polecam sprawdzić u źródeł na stronie GitHub OpenMediaVault Plugin Developers w sekcji installScript.

MG

Tagi: Debian, konfiguracja, Linux, OMV

Linux Debian ELTS

Linux Debian to niewątpliwie jedna z bazowych dystrybucji, przynajmniej do tej pory tak zawsze pisano na rozmaitych wiki – pozostałe dwie to rodziny RedHat i Slackware. Osobiście bardzo ją lubię, w głównej mierze za prostotę i dosyć logicznie poukładany system operacyjny. Od wielu lat twierdzę, że dużo łatwiej nauczyć się dobrze posługiwać Debianem niż MS Windows (sic!). W wersji instalacji sieciowej można za pomocą kilku komend dostać naprawdę dobrze skrojony system i co ważne bez zbędnych dodatków. Dla porównania w Ubuntu, które wykorzystuje Debiana już nie jest tak wydajnie.

Czy istnieją jednak jakieś niedogodności Debiana, a być może wady? Świat byłby zbyt piękny gdyby istniał ideał. Jak się zapewne domyślacie musi być coś co denerwuje nawet tak oddanych użytkowników jak autor tego wpisu. I rzeczywiście można wymienić zapewne kilka ułomności, z których mi najbardziej przeszkadza cykl wydawniczy kolejnych wersji. A w zasadzie jego długość (bądź krótkość żeby być bardziej precyzyjnym).

Debian przede wszystkim stara się być bardzo stabilny. Zatem wszelkie nowości pojawiają się z dużym opóźnieniem w stosunku do innych dystrybucji. Najpierw każdy z pakietów jest testowany a dopiero później – jeżeli wszystko będzie w porządku według deweloperów – włączany do głównego repozytorium. To zajmuje sporo czasu. Co dwa lata pojawia się nowe główne wydanie a wsparcie przewidziane jest na trzy. Jeśli wybierzemy wersję hmm… długowieczną tzw. long life LTS to otrzymamy aktualizacje do pięciu lat od momentu debiutu. Można powiedzieć, że ten sposób dystrybucji jest optymalny ale dobrze wiadomo, że trzy lata potrafią minąć bardzo szybko. Wsparcie kończy się nagle. Nowe pakiety nie pojawiają się w repozytorium a my zostajemy z przeterminowanym serwerem. Prawdę mówiąc jeżeli utrzymujemy jeden taki serwer to wymiana systemu może być pracochłonna ale stosunkowo bezbolesna. Aktualizacji typu distroupgrade dystrybucji nie polecam. Raz tak zrobiłem i bardzo żałowałem. Inaczej sprawa wygląda jeśli hostów z przestarzałym Debianem mamy kilka lub kilkanaście.

Wychodząc naprzeciw potrzebom sysopsów w dużych sieciach serwerów niektórzy dostawcy oprogramowania oferują swoje repozytoria, które pozwalają przedłużyć życie naszych węzłów poza wsparcie LTS. Naprawdę warto poszukać w sieci. Przykładem z mojej praktyki jest Debian Jessie, którego wsparcie skończyło się 30 czerwca 2020 roku. Okazało się jednak, że jest dosyć popularna dystrybucja (a admini dosyć leniwi) i społeczność zaczęła pracować nad alternatywnymi repozytoriami.

Mamy pierwszy kwartał 2022 roku, dwa lata po terminie a nadal wychodzą aktualizacje. Jednak należy ich szukać na stronie (czyli jak wspominałem poza oficjalnym źródłem):

https://deb.freexian.com/extended-lts/

Projekt nazywa się Debian Extended LTS (ELTS) i jest odpowiedzią na zapotrzebowanie rynku. Zupełnie inną sprawą jest pytanie czy jest to właściwy sposób rozwiązania problemu? Z różnych względów zapewne nie. Ale potrzeba i lenistwo są matką wynalazków. Zatem jeśli nie widzisz innego wyjścia to możesz użyć ELTS ale pamiętaj, że również to repozytorium przestanie być kiedyś używane.

MG

Tagi: Debian, konfiguracja, Linux

ESXI linia poleceń

Wielokrotnie na łamach bloga chwaliłem VMware ESXi jako jedno z najlepszych rozwiązań dla wirtualizacji. Ostatnio bawiłem się trochę maszynami KVM i… po raz kolejny mogę z czystym sumieniem polecić to pierwsze rozwiązanie. Wiem, że na KVM można robić cuda, ale codzienna praktyka sysadmina, gdy zadania mnożą się jak grzyby po deszczu i nie ma na nic czasu powoduje, że trzeba używać rozwiązań stanowiących kompromis pomiędzy elastycznością a szybkością wdrożenia.

Oczywiście ESXi w wersji powyżej 6.5 to bardzo wygodny interfejs graficzny do zarządzania. Wyklikać można wiele rzeczy i trzeba przyznać, że całość jest logicznie i przejrzyście poukładana. Myślę, że średniozaawansowany użytkownik nawet nie będzie potrzebował instrukcji użytkownika, żeby samemu dojść do pożądanej konfiguracji.

Są jednak sytuacje, w których przydaje się shell systemowy. Zwłaszcza gdy stoimy dosłownie przed serwerem ESXi i widzimy słynny niebiesko żółty ekran powitalny trybu tekstowego. Możemy również uruchomić usługę SSH i zdalnie zaologować się jako root do konsoli. VMware to tak naprawdę Photon OS Linux, czyli dystrybucja skrojona na miarę hosta maszyn wirtualnych. Powinny być zatem dostępne typowe komendy linuksowe i rzeczywiście tak jest. Ale aby zarządzać samymi maszynami potrzebujemy kilku poleceń ekstra. Poniżej przedstawiam absolutnie minimalną listę tych najbardziej potrzebnych.

Aby wyświetlić listę maszyn zainstalowanych na hoście używamy komendy:

vim-cmd vmsvc/getallvms

Zwracam uwagę na pierwszą kolumnę, w której znajdziemy identyfikator <vmid>.

Aby wyłączyć maszynę używamy polecenia:

vim-cmd vmsvc/power.off <vmid>

Aby zrobić to w kulturalny sposób:

vim-cmd vmsvc/power.shutdown <vmid>

Analogicznie by ją włączyć:

vim-cmd vmsvc/power

A na koniec tryb Maintenance Mode włączany przed aktualizacjami, pracami naprawczymi itp.:

esxcli system maintenanceMode set --enable true

Dla ambitnych polecam domyślenie się jak wygląda wyłączanie wspomnianego trybu.

MG

Tagi: komendy, linia poleceń, Linux, VMWare

OpenVAS, GVM na Dockerze

OpenVAS należący do znanego projektu o nazwie GVM zalicza się do zestawu narzędzi typu trzeba mieć dla każdego współczesnego administratora, lub jak ktoś woli devopsa (prawda, że od razu brzmi lepiej?). Czy ktoś chce czy nie, temat cyberbezpieczeństwa stał się na tyle modny/istotny, że trzeba zawsze poważnie podchodzić do swoich zadań z tego zakresu. Aby zatem ustrzec się przed włamaniem najlepiej jest samemu sprawdzać swoje sieci, nawet za pomocą podstawowego zbioru wektorów, pod kątem podatności na ataki. Tak zwane testy penetracyjne (powszechnie określane jako pentesty) są tutaj bardzo pożądanym działaniem. I właśnie wspomniany na początku OpenVAS jest jednym z najlepszych środków dla zebzpieczenia się dzięki sprawdzeniu jake luki może posiadać sieć, którą się opiekujemy.

Istalacja OpenVAS od podstaw jest jak najbardziej możliwa, wymaga jednak umięjętnego poruszania się w środowisku Linuksa, oraz co najmniej średniego stopnia zaawansowania biorąc pod uwagę kompilacje kodu źródłowego. Aby w pełni uruchomić i dostroić pakiet trzeba skonfigurować poprawnie dużą liczbę zależności oraz dodatków, bez których aplikacja nie stanie się pełnowartościowym produktem.

Druga, nie mniej istotna sprawa to aktualizowanie definicji wektorów ataku, które przecież w dzisiejszych czasach zmieniają się dość gwałtownie. Jest to również proces, nad którym trzeba zapanować. Używanie do pentestów OpenVAS z niektualnymi zbiorami podatności mija się po prostu z celem.

Aby przyspieszyć proces wdrażania opisywanego narzędzia można skorzystać z kontenerów Docker. Jest to dobra wiadomość, w szczególności dla niezaawansowanych użytkowników. Niemniej próżno szukać oficjalnego źródła na portalach w rodzaju Docker Hub. Dlatego chciałem się podzielić konfiguracją, z kórej sam korzystam. Jest ona sprawdzona o tyle, że przekonałem się, iż jak na razie jest aktulizowana przez autora. Poza tym, aby pobrać najnowsze wektory wystarczy uruchomić ponownie kontener. W trakcie startu zostaną uruchomione skrypty, które zadbają o sprawdzenie stanu definicji i w przypadku konieczności zmiany wersji na nowszą wykonają to za nas.

Co zatem należy zrobić? Zakładając, że na przykład mamy już zainstalowany Docker wraz z docker-compose, oraz dla wygody środowisko graficzne do zarządzania kontenerami Portainer, przechodzimy do zakładki Stacks i budujemy nową konfigurację korzystając z poniższego kodu.

version: "3"
services:
openvas:
ports:
- "8080:9392"
environment:
- "PASSWORD=admin"
- "USERNAME=admin"
- "RELAYHOST=172.17.0.1"
- "SMTPPORT=25"
- "REDISDBS=512" # number of Redis DBs to use
- "QUIET=false" # dump feed sync noise to /dev/null
- "NEWDB=false" # only use this for creating a blank DB
- "SKIPSYNC=false" # Skips the feed sync on startup.
- "RESTORE=false" # This probably not be used from compose… see docs.
- "DEBUG=false" # This will cause the container to stop and not actually start gvmd
- "HTTPS=false" # wether to use HTTPS or not
volumes:
- "openvas:/data"
container_name: openvas
image: immauss/openvas
volumes:
openvas:

Więcej szczegółów można znaleźć na stronie https://github.com/immauss/openvas . Miłej zabawy.

MG

Tagi: Docker, komendy, konfiguracja, Linux